如何配置 Linux 安全服务管理工具

——PDF下载中心 Page 1 of 4 如何配置 Linux 安全服务管理工具 在对任何计算机进行安全管理时，最重要的一点就是要保证能够对正在运行的服务进行有效的控制。 本文主要讲述如何对对一台运行 Linux 系统的电脑进行配置，实现安全的服务管理。 在对任何计算机进行安全管理时，最重要的一点就是要保证能够对正在运行的服务进行有效的控制。 运行不必要的网络服务会给系统增添额外的安全风险。就算是为了完成某些功能而必须运行的服务， 你也应该对其进行仔细的配置和管理，从而最小化该服务有可能带来的风险。 为了实现 Linux 系统最佳的安全配置服务，可以通过/etc/inittab 文件，runlevels，以及一两个服务管理 超级工具（superdaemon）inetd 或 xinetd ，直接进行管理。 inittab /etc/inittab 文件被用在系统的初始化过程，用来启动系统服务。在一个配置好的系统中，文件中包含 的服务应该不会很多，但是某些 Linux 版本在默认安装时会加载很多额外的服务。/etc/inittab 文件的内 容看上去并不是很明晰，但是它能令服务管理的变得相对简单。 ◆首先，不要通过 /etc/inittab 文件在系统初始化时添加服务。虽然偶尔有例外，但是一般来说，添加 服务可以通过其它方式实现。 ◆第二，不要删除 /etc/inittab 文件中第一个冒号之前的单精度部分或之前的其它部分。以单精度字符 开头的一行可以开启你的 TTY 控制台，而之前列出的整个项目会打开其它功能，甚至一些关键功能。 虽然本条规则也有例外，但是为了稳妥，在你不确定时，不要删除任何部分。 ◆第三， /etc/inittab 主要用于系统引导时和 runlevel 选择时的进程管理，不用于正常的系统操作。 ◆第四，要添加在系统引导时启动的服务，应该使用 rc 系统，而不是 init 系统。如果你查看 /etc/inittab 中的内容，就会发现每个条目后面都跟有 rc 0 到 rc 6 不等的字符，这是表示 init 系统会如何处理该项 目的 runlevels。 runlevels 基于 Linux 的系统可以通过 runlevels 对操作进行管理。不同的运行等级具有不同的行为，这与微软 Windows 操作系统所采用的“正常模式”、“安全模式”以及“DOS 模式”类似。 ◆Runlevel 0 可以用来关闭正在运行的所有程序，同时，如果系统允许软关机，就将关闭系统电源。 ◆Runlevel 1 是单用户无网络连接模式，这种等级主要用来进行非常低等级的排错以及管理操作。 ◆Runlevel 2 到 Runlevel 5 是多用户系统正常模式。 在 runlevel 2-3 级，只能采用命令行界面，其 中第二级没有网络连接，而第三级则带有网络连接能力。runlevel 5 会自动启动 X Window 系统，为 用户提供图形界面。runlevel2-5 级都允许 root 用户进行配置，因此这几个等级都可以完成你所希望的 操作。 ——PDF下载中心 Page 2 of 4 ◆Runlevel 6 用来在整个初始化系统以及 bootloader 需要重新启动时，进行系统重新启动。 从第七级以上的 runlevel 是管理员自行定义的，但是“传统”的 UNIX 系统并不会使用这些等级。因 此一般也不需要对七级以上的 runlevel 进行定义和使用。 在外壳中，你可以通过输入 runlevel 命令来查看先前的 runlevel 和当前的 runlevel。如果系统的 runlevel 没有改变，那么你会在返回的当前 runlevel 等级后看到一个大写的“N”，表示没有先前的 runlevel。 要改变系统的 runlevel，你可以使用 init 命令，之后跟上你所希望改变的 runlevel 等级。比如，你可以 输入 init 6，然后重新启动系统，或者 init 1，启用单用户模式。 不同版本的 Linux 可能会有不同的修改 runlevel 的方法和过程。比如在 Debian GNU/Linux 中，位于 /etc/init.d 的服务脚本有来自/etc/rcN.d 目录的 symbolic link 进行链接，其中的 N 表示你所希望进行配 置的 runlevel 等级。以 K 作为起始的 Symlinks 意味着插入 runlevel 时被杀死的进程，而以字母 S 开 头的 Symlinks 表示在进入 runlevel 时被启动的程序。数字从 1 到 99，数字越大，表示启动或被杀死 的时间越靠后。 大多数基于 RPM 的 Linux 版本都采用基于 RedHat 的 rc 系统。比起基于 Debian 的系统，这一系统使 用更复杂的路径结构，而不同的基于 RPM 的系统之间也有很大的不同。你的 Linux 产品说明书上会详 细的介绍如何管理 runlevels。 inetd “superdaemon”是用来管理 Linux 后台程序的工具，正如我们所知，inetd 就是这样一个常见的服务 管理工具。终止 inetd 引用服务很简单：首先，作为 root 用户登录，用文本编辑器打开/etc/inetd.conf 文件。接下来，找到文件中需要终止的服务。最后，在服务所在行的最前面添加#符号（其他还有“>” 和“英镑符”），如下所示。注释掉该行，inetd 以后都不会启动这一服务。 编辑前，inetd 服务看上去可能如下所示： ident stream tcp wait identd /usr/sbin/identd identd 禁止 inetd 后，该行变为： # ident stream tcp wait identd /usr/sbin/identd identd 如果你正在卸载 inetd 服务中的服务后台，不论是通过包管理器或者直接删除它的可执行文件（如上例 中的/usr/sbin/identd），都可以简单的删除该行命令。 修改完/etc/inetd.conf 后，记得要保存文件，以便 inetd 采用新的配置。保存后，你可以通过以下命令 快速应用新的配置： kill -HUP `pidofinetd` 这个命令会导致 inetd 根据新的配置文件重新启动。 ——PDF下载中心 Page 3 of 4 xinetd 另一个出现较晚，也更复杂一些的 superdaemon 被称作 xinetd ，它的功能比 inetd 要多一些。如果只 是为了禁用某个服务，它使用起来同样很简单。 如果利用 xinetd，你必须在/etc/xinetd.conf 中添加命令来禁止一个服务。如果要简单的删除某个服务 项，你可能需要删除好几行内容，而不像 inetd 中只需要删除一行。首先你需要在文本编辑器中打开上 述文件，然后查找你希望禁止或者删除的服务，然后添加 disable = yes 命令禁止该服务，或者将该服 务所在项全部删除。比如，我们要禁用 telnet，可以如下所示： service telnet { . . . disable = yes } 在某些系统中，对于某些服务，服务配置并不在/etc/xinetd.conf 文件中。例如，像 telnet 这样的服务 有可能在文件/etc/xinetd.d/telnet 中，改变其服务配置方法与它在/etc/xinetd.conf 文件中的方法是一样 的。 编辑并保存了/etc/xinetd.conf 文件后或者更改了服务文件后，可以输入下面的命令让修改即时生效： kill -USR2 `pidofxinetd` 本命令将通知 xinetd 程序，使用更改后的配置。 Xinetd 除了关闭或移除服务配置之外，还可以用于控制远程主机登录服务。这将通过几个机制完成： ◆可以为服务指定一个允许的主机。例如：可以通过在服务配置文件中添加 only_from = 192.168.0.101 这一行限制主机登录 telnet 服务。尽管使用了词语“only”，但是它只能限制主机的数目，而不仅仅只 一台主机。也可以使用部分地址指定完整的网络。例如：可以使用“only_from = 192.168.0.to”表示 本地 Class C 的任何主机都能访问这个服务。 ◆可以在配置文件中为某个服务指定禁止的主机。例如：可以在配置文件中添加“no_access = 192.168.0.102”这一行禁止这个主机远程访问 telnet 服务。这个也可以使用多次而且也可以使用部分 地址指定多个主机。万一某个主机满足 only_from 和 no_access 两个限制，则会权衡确定其访问权限。 如果 xinetd 不能确定哪个限制能被应用，则系统默认更安全的选项——服务不会开启。 ——PDF下载中心 Page 4 of 4 服务管理之外 对于安全的远程服务访问，还有更多的事情可以做。应该恰当配置防火墙保护服务免受攻击。代理服 务器、通过网关服务器端口推进以及网络地址转移都能有效减少服务攻击的风险。针对安全使用，那 些用于登录正在运行的服务工具也应进行配置，例如，如果使用安全 shell 进行远程连接而没有使用 X Server 时，在 SSH 中调低 X forwarding 是很重要的。直接进行安全管理是保证 Linux 系统安全的重 要部分，但是它也只是全面安全 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 的一部分。 原文地址：http://articles.techrepublic.com.com/5100-1035_11-6092280.html?tag=sc